Okazało się, że naprawiona podczas wczorajszego dnia łat krytyczna luka w zabezpieczeniach w komponencie sieciowym Office (OWC) była znana producentowi software'u już od ponad dwóch lat. Jednak dopiero gdy zaczęto ją czynnie wykorzystywać, ludzie z Redmond wzięli się do roboty i w ciągu miesiąca przygotowali poprawkę.
Już w marcu 200. roku grupa Zero Day Initiative (ZDI) opublikowała informacje o wykrytym przez Petera Verugdenhila problemie z zabezpieczeniami w programach Microsoftu. ZDI poinformowała producenta o tym, że specjalnie spreparowany parametr przy wywoływaniu msDataSourceObject() może doprowadzać do błędów w zarządzaniu pamięcią, które napastnik mógłby wykorzystać do przemycenia i wykonania szkodliwego kodu. Po tej informacji przez długi czas nic się nie działo – a w każdym razie nic, co by uchroniło użytkowników przed konsekwencjami problemów z zabezpieczeniami.
ZDI potwierdziła w opublikowanych wczoraj zaleceniach, że od wykrycia luki do jej naprawienia minęły dwa lata. "Oni [Microsoft –. przyp. red.] potrzebują coraz więcej czasu, aby mieć pewność, że problem został naprawdę rozwiązany" – stwierdził szef ZDI Pedram Amini w rozmowie z heise Security. A polityka działania ZDI polega właśnie na tym, że producentowi daje się tyle czasu na usunięcie usterki, ile jest mu potrzebne.
Na początku lipca zachowanie software'owego giganta zmieniło momentalnie, kiedy to ujawniono, że właśnie ta luka jest już aktywnie wykorzystywana w Internecie do podsuwania użytkownikom Windows szkodliwego kodu. Niespodziewanie Microsoft wydał własne zalecenia postępowania względem tej usterki i zapowiedział możliwie jak najszybsze podjęcie środków zaradczych. Wszystkie te działania osiągnęły kulminację w jednym patchu, który znalazł się w aktualizacji MS09-04. i we wtorek został wprowadzony do dystrybucji w ramach sierpniowego Patch Day.
Na pytania heise Security, dlaczego firma najpierw potrzebowała tak dużo czasu na przygotowanie patcha, a potem zareagowała w ekspresowym tempie, Microsoft odpowiedział w sposób dość zawoalowany: "każda luka jest inna", "zagwarantowanie jakości może trwać bardzo długo" i "niestety, czasem to trwa dłużej niż we wzorowych przypadkach". O tym, czy również klienci zaakceptują bez zastrzeżeń takie wyjaśnienia, dopiero się przekonamy.
wydanie internetowe www.heise-online.pl
